사이버 공격자들의 암호화폐 사랑은 끝이 없다. 이 사랑에 눈이 멀어 클라우드라는 비교적 새로운 기술과 탄탄한 환경에도 마구 침입해 들어간다. 이걸 대수롭지 않게 넘겼다간 클라우드 이용료와 전기세 폭탄이 떨어진다.

[보안뉴스 문가용 기자] 사이버 공격자들이 클라우드 계정들을 공략하고 있다. 그 목적은 암호화폐 채굴이다. 클라우드를 통해 워크로드를 분산시켜 암호화폐 채굴을 활성화 하는 것이 공격자들 사이에서 나타나는 최신 추세라고 한다. 이 때 공격자들의 주요 수법은 환경설정 오류나 취약한 클라우드 인스턴스를 악용하거나, ‘임시 계정’들을 합법적으로 만들어 남용하는 것이다.

​

[이미지 = utoimage]

보안 업체 트렌드 마이크로(Trend Micro)가 발표한 바에 의하면 최근 세 개의 해킹 그룹이 이런 식의 활동을 왕성하게 하고 있다고 한다.

1) 아웃로(Outlaw) : 공개된 취약점을 익스플로잇 하거나 훔친 크리덴셜을 사용해 사물인터넷 장비와 리눅스 서버들, 컨테이너를 침해한 후 모네로 코인을 채굴하거나 디도스 공격을 실시한다.

2) 팀TNT(TeamTNT) : 취약한 소프트웨어 서비스들을 주요 표적으로 삼으며, 지난 11월부터 공격의 피치를 올리기 시작했다. 곧 운영을 중단할 것이라고 발표한 바 있다.

3) 킹싱(Kingsing) : 방대한 분량의 클라우드 익스플로잇 기법과 도구를 보유하고 있으며, 12월부터 로그4j(Log4j)에서 발견된 취약점을 집중 공략하고 있다.

트렌드 마이크로의 수석 위협 연구원인 스티븐 힐트(Stephen Hilt)는 “클라우드의 보안 장치들이 사용자들의 기대만큼 효과적으로 작동하고 있지 않다는 것을 다시 한 번 상기시켜주는 사례”라고 말한다. “설정이 잘못된 클라우드 인스턴스들의 수가 정말 많습니다. 공격자들이 주로 노리는 것이 바로 이 부분입니다. 공격자들이 클라우드 시스템 자체를 변경하는 게 아닙니다. 권한도 없이 비밀번호를 바꾸는 것도 아닙니다. 그러니 경보가 울리지 않습니다. 공격자들은 그저 채굴 코드만 살짝 얹어두고 빠집니다. 다른 건 절대로 건드리지 않고요. 이런 상태이니 클라우드 환경을 직접, 면밀하게 점검하지 않는 이상 발견하기가 힘듭니다. 컴퓨팅 자원을 무한대로 소모하지 않고 적절히 조정하는 그룹이라면 더 찾기 어렵습니다.”

그 외에 일부 클라우드 서비스가 잠재 고객들에게 맛 보기를 무료로 제공한다는 사실을 적극 악용하는 사례들도 있다. 혹은 CI/CD(지속적 통합 / 지속적 배포)를 위한 인프라 서비스를 남용하기도 한다. 공격자들이 주로 활용하는 건 애저 데브옵스(Azure DevOps), 비트버킷(BitBucket), 서클CI(CircleCI), 깃허브(GitHub), 깃랩(GitLab), 트라비스CI(TravisCI)다. 이런 여러 서비스에 워크로드를 잠시 동안 분산해놓고 한꺼번에 운영함으로써 ‘임시 암호화폐 클라우드 서비스’를 스스로 구축하는 것이다. “한 공격자의 경우 6시간짜리 빌드 과정을 다량으로 등록시켜 프로세서 사이클을 추가해놓고 암호화폐 채굴을 하기도 하더군요.” 클라우드 보안 업체 아쿠아 시큐리티(Aqua Security)의 설명이다.

“고객들을 유치하기 위해 짧은 기간 동안 무료로 서비스를 사용해보게 하는 클라우드 서비스들이 대단히 많습니다. 무료 계정 생성과 등록 절차도 정말 간단하고요. 그 허용된 기간 동안 공격자들이 최대한 많은 서비스를 한꺼번에 돌려 클라우드 컴퓨팅 파워를 가동시키고, 그걸 암호화폐 채굴에 활용하는 겁니다. 이 수법이 악랄한 것은, 사업을 유지시켜야 하는 기업 입장에서 혹시 등록할 지도 모르는 잠재 고객들의 무료 서비스 체험 요청을 중단할 수 없기 때문입니다. 공격자들은 클라우드 서비스 업체들이 알고도 막지 못하는 문을 찾아낸 것이나 다름이 없습니다. 이는 클라우드 산업 자체의 성장 동력을 죽이는 행위입니다.” 아쿠어 시큐리티의 소프트웨어 엔지니어인 모 웨인버거(Mor Weinberger)의 설명이다.

이번 연구 결과를 통해 해커들은 그 어떤 서비스나 기술도 자신들의 지갑을 비정상적으로 불리는 수단으로 활용할 수 있다는 것이 다시 한 번 확인되고 있다. “클라우드라는 기술을 무력화시킨 게 아니라는 것에 집중해야 합니다. 공격자들은 클라우드 환경의 취약한 ‘현실’을 재빨리 파악해 악용하고 있는 겁니다. 정상적인 사람들은 그냥 지나치는 것을 이들은 꼭 돈 벌 기회로 바꿉니다. 그게 해커들의 가장 무서운 점입니다.”

그나마 다행인 점이 있다면 클라우드 자원을 차지하기 위해 공격자들끼리 경쟁한다는 것이다. 예를 들어 팀TNT의 경우 또 다른 암호화폐 채굴 집단인 킹싱의 견제를 심하게 받고 있다. 트렌드 마이크로는 “팀TNT가 미리 차지한 환경에 들어간 킹싱이 팀TNT의 공격 기반을 다 삭제하는 것을 발견할 수 있다”고 설명한다. 아웃로의 경우 다른 멀웨어나 채굴 코드를 선제적으로 찾아 삭제하는 작업을 먼저 한 다음에 자신들의 채굴 활동을 시작한다.

“노다지가 발견된 탄광을 차지하려고 서로 싸우는 광부들 같습니다. 절대 자원을 공유하지 않아요. 독차지하려고만 하지.” 힐트의 설명이다. “그래서 정작 클라우드 업체나 고객사가 발견하지도 못한 멀웨어를 해커들이 청소해주는 현상도 발생합니다. 물론 그 다음에는 자신들의 악성 코드를 심긴 하지만요. 즉 굉장히 살벌한 CTF(캡쳐 더 플래그)가 우리의 네트워크 안에서 진행되고 있는 겁니다.”

암호화폐 채굴 코드를 심는 공격이 잘 발견되지 않는 이유는 또 있다. 피해자들이 암호화폐 채굴 공격을 ‘그다지 위험하지 않은 공격’으로 인식하고 있기 때문이다. 랜섬웨어처럼 사업 행위를 중단하지도, 정보 탈취형 멀웨어처럼 개인정보를 빼가지도 않으니 그렇게 느껴질 만도 하다. “하지만 이들은 피해자들의 전기세와 클라우드 이용료를 중간에서 가로채고 있습니다. 가장 직접적인 금전 피해를 일으키는 것이죠. 그러나 클라우드 환경에 대한 가시성을 확보해 이런 채굴 활동을 전부 찾아내는 게 사업 운영비 절감에 실질적인 도움이 됩니다.” 힐트의 설명이다.

3줄 요약

1. 클라우드의 취약한 ‘현실’ 노리는 공격자들, 암호화폐 적극 심고 있음.

2. 클라우드의 무료 서비스 악용하는 공격자들, 암호화폐 적극 심고 있음.

3. 서로를 견제하며 클라우드 차지하려는 공격자들, 암호화폐 적극 심고 있음.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=105830&page=2&mkind=1&kind=1)]